Universele decryptor voor slachtoffers 'REvil cybercriminelen' beschikbaar

Gepubliceerd op 17 september 2021 om 07:00

Cybersecuritybedrijf Bitdefender heeft een universele decoderingssleutel ontwikkeld voor iedereen die in het verleden slachtoffer is geworden van REvil. Deze decryptor werkt niet alleen voor de supply chain attack op Kaseya: bedrijven en organisaties die vóór 13 juli slachtoffer waren van de Russische hackersgroep, kunnen de sleutel gebruiken om hun bestanden te ontgrendelen. Ondanks dat de decryptor gratis en voor niets beschikbaar is, waarschuwen securityexperts om voorzichtig te zijn.

Ransomware Evil (REvil)

Dit ransomware-syndicaat wordt ook wel 'Sodin' of 'Sodinokibi' genoemd, maar de naam 'REvil' is geïnspireerd op de 'Resident Evil-film' en staat voor Ransomware Evil. REvil,  is een hackersgroep die vanuit Rusland buitenlandse bedrijven en mogendheden bestookt met ransomware. Ransomware is een andere benaming voor gijzelsoftware. Hackers gebruiken het programma om de toegang tot computersystemen te vergrendelen voor het eigen personeel. Tevens kunnen ze hiermee privacygevoelige en vertrouwelijke bedrijfs- en persoonsgegevens stelen, en belangrijke data achter slot en grendel plaatsen. Pas als het slachtoffer losgeld betaalt, krijgt hij de sleutel zodat hij weer bij zijn bestanden kan. Zo’n sleutel wordt ook een decryptor of decoderingssleutel genoemd.

REvil is sinds 2019 actief. De groep zou nauwe banden hebben met de Russische inlichtingendienst GRU. Veiligheidsambtenaren geven naar verluidt opdracht om specifieke doelwitten aan te vallen.

Door de jaren heen heeft REvil allerlei slachtoffers gemaakt, waaronder Travelex, Brown-Forman Corporation, Acer en Quanta Computer (Apple). Alleen dit jaar vielen vleesverwerker JBS, energiemaatschappij Invenergy en ICT-dienstverlener Kaseya ten prooi aan de Russische hackers.

Kaseya cyberaanval

De aanval op Kaseya zorgde wereldwijd voor een hoop ellende. REvil misbruikte een zero day exploit in de software Virtual System Administrator (VSA). Afnemers kunnen met dit programma computersystemen en servers van klanten op afstand beheren. Door deze kwetsbaarheid waren de hackers in staat om ongemerkt gijzelsoftware te installeren. Dat gebeurde bij zo’n 1.500 bedrijven en organisaties wereldwijd, waaronder enkele in Nederland.

Vlak na de aanval liet REvil van zich horen. Het hackerscollectief vroeg 70 miljoen dollar voor de decoderingssleutel. “Iedereen ka zich dan binnen een uur van de aanval herstellen”, zo beloofden de aanvallers. Het losgeld voor deze decryptor is nooit betaald. In plaats daarvan ontving Kaseya een universele decoderingssleutel van een onbekende partij. Daarmee kregen alle slachtoffers kosteloos de controle over hun systemen en bestanden terug.

REvil offline

Halverwege juli gebeurt er iets onverwachts: REvil lijkt van de aardbodem te zijn verdwenen. De websites op zowel het darkweb als het reguliere web gingen spontaan op zwart. De helpdesk was ook niet langer beschikbaar. En de hacker 'Unknown', die fungeert als de spreekbuis van de hackersgroep, was verbannen van hackersforum XSS.

Bedrijven die door REvil aangevallen waren zaten hierdoor ineens met een probleem. Ze konden niet langer inloggen op de sites van de hackers. Onderhandelen over of het betalen van losgeld was hierdoor onmogelijk. Voor deze slachtoffers is er nu een oplossing. Samen met ‘een betrouwbare wetshandhaver’ heeft cybersecuritybedrijf Bitdefender een universele decoderingssleutel ontwikkeld. Iedereen die vóór 13 juli is aangevallen door REvil, kan deze sleutel gebruiken om weer toegang te krijgen tot zijn data.

Waarom REvil uit het niets verdween, is nog altijd een mysterie. De verdwijningsact was echter van korte duur. Afgelopen week en deze week maakten leden van de groep nieuwe slachtoffers. Zodoende was het kristalhelder dat REvil terug van weggeweest is.

Aanval Slachtoffer Cybercriminelen Website Land
16-09-2021 Spiezle Architectural Group Inc. Sodinokibi (REvil) spiezle.com USA
13-09-2021 ohiograting.com Sodinokibi (REvil) ohiograting.com USA
> 62 dagen offline <
10-07-2021 ensingerplastics.com Sodinokibi (REvil) ensingerplastics.com USA

Universele decryptor

Bitdefender zegt dat het onderzoek naar de ransomware-aanvallen van REvil nog steeds loopt. Zodoende kan het cybersecuritybedrijf geen details geven of mededelingen doen over de kwestie. Om zoveel mogelijk slachtoffers zo snel mogelijk te helpen, besloot het bedrijf om de universele decryptor nu al vrij te geven. Op de website van Bitdefender kun je de universele decoderingssleutel gratis en voor niets downloaden.

Dat de sleutel voor iedereen beschikbaar is, is vanzelfsprekend goed nieuws. Toch waarschuwen medewerkers van Bitdefender ons om ook de komende tijd waakzaam te zijn. “We geloven dat er nieuwe REvil-aanvallen op komst zijn nadat de servers en ondersteunende infrastructuur van de ransomware-bende onlangs weer online kwamen na een onderbreking van twee maanden. We dringen er bij organisaties op aan om zeer alert te zijn en de nodige voorzorgsmaatregelen te nemen”, aldus het cybersecuritybedrijf.

R Evil Documentation
PDF – 720,2 KB 202 downloads

Bron: bitdefender.com, vpngids.nl

REvil gerelateerde artikelen 》

Meer info over ransomware 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Ransomware jaaroverzicht 2021

Ransomware zorgde in 2021 voor lege kaasschappen, naar huis gestuurd personeel en grote hoeveelheden gestolen persoonsgegevens. Ook in 2021 werden Nederlandse bedrijven, onderwijsinstellingen en andere organisaties geregeld het slachtoffer van ransomware. Een terugblik op een jaar vol ransomware-aanvallen. Daarnaast nemen we de grootste ransomware-aanvallen in het buitenland onder de loep, alsmede gebruikte aanvalsmethodes en reacties op de dreiging van ransomware.

Lees meer »

Toename in agressiviteit en brutaliteit van ransomware cybercriminelen

Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.

Lees meer »

"Yeah baby" take down door politie diensten

De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.

Lees meer »

Ransomware: Laag risico hoge beloning

Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.

Lees meer »